Die CER-Richtlinie und NIS 2-Richtlinie

Am 16.01.2023 sind zwei EU-Richtlinien für besseren Schutz kritischer Infrastrukturen in Kraft getreten. Hierzu gehört auch der Gesundheitsbereich.

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie - EU 2022/2557)¹  verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.

Die EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)²  weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus. Betroffene Unternehmen werden nur noch anhand ihrer Unternehmensgröße erfasst. Das gilt grundsätzlich für alle mittleren- und Großunternehmen in den betroffenen Wirtschaftssektoren. Auf die Fallzahlen kommt es also nicht mehr an.

Während unter der alten NIS-Richtlinie die Mitgliedstaaten dafür verantwortlich waren, zu bestimmen, welche Unternehmen die Kriterien erfüllen würden, um sich als Betreiber wesentlicher Dienste zu qualifizieren, führt die neue NIS 2-Richtlinie eine „size-cap rule“ (Artikel 2 Nr. 1) als allgemeine Regel zur Identifizierung regulierter Unternehmen ein. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder Dienstleistungen erbringen, in ihren Anwendungsbereich fallen. Im Sinne der Empfehlung 2003/361/EG gilt:
•    Kleines Unternehmen: weniger als 50 Mitarbeiter und ein Jahresumsatz bzw. eine Jahresbilanz von unter 10 Mio. Euro.
•    Mittleres Unternehmen: weniger als 250 Mitarbeiter und ein Jahresumsatz von unter 50 Mio. Euro bzw. eine Jahresbilanz von unter 43 Mio. Euro.

Von der NIS-2-Richtlinie erfasste Unternehmen müssen zukünftig Risikomanagementmaßnahmen im Cybersicherheitsbereich vorweisen und Meldepflichten im Fall von Cybervorfällen erfüllen. Nach Schätzungen des Statistischen Bundesamts betrifft das in Deutschland insgesamt rund 29.000 Unternehmen – mehr als fünfmal so viele wie zuvor.

Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

Die CER-Richtlinie wird durch das im Koalitionsvertrag vereinbarte KRITIS-Dachgesetz umgesetzt. Das Gesetz schafft erstmalig eine sektorenübergreifende bundesgesetzliche Regelung zum physischen Schutz Kritischer Infrastrukturen in Deutschland.

Was ändert sich durch das KRITIS-Dachgesetz?
•    Kritische Infrastrukturen sollen klar und systematisch identifiziert werden.
•    Staat und KRITIS-Betreiber sollen regelmäßige isikobewertungen durchführen und dadurch Gefahren besser erkennen.
•    Es werden Mindeststandards für Betreiber Kritischer Infrakstrukutren
•    Ein zentrales Meldesystem für Störungen soll das bestehende Meldewesen im Cybersicherheitsbereich ergänzen. Mögliche Schwachstellungen bei  Schutz Kritischer Infrastrukturen können so besser erkannt und behoben werden.
•    Die Zusammenarbeit der beteiligten Akteure im Bereich der Kritischen Infrastrukturen soll besser organisiert und klare Verantwortlichkeiten und Ansprechpartner benannt werden.

¹ eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2557, aufgerufen im Internet am 16.07.2023.
² eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555, aufgerufen im Internet am 16.07.2023.

Dieser Beitrag stammt aus dem HHL-Newsletter 4-2023. Abonnieren Sie hier kostenlos, um keine News aus der Branche mehr zu verpassen!